5 атак 2026 года, которые живут только в браузере
Главная мысль: в 2026 году злоумышленнику всё чаще не нужен “вирус на компьютере” в виде файла. Ему достаточно попасть туда, где вы реально работаете каждый день — в браузер. Точнее в его сегменты кода и данных.
Почта, документы, рабочие чаты, CRM, порталы, кабинеты подрядчиков — всё это сегодня в интернете. И многие атаки устроены так, чтобы выглядеть как обычная работа пользователя: пользователь не ставил никаких программ, не скачивал файлы, не было никаких файлов вообще для антивируса.
Если вы думаете “вирусы не были найдены антивирусом — значит всё нормально”, у меня плохие новости: это уже не так.
Мини-словарик (простыми словами)
- Сессия — это “отметка что вы сейчас посещаете сервис”. Как будто вам дали браслет на руку на входе в клуб или отель по системе "все ключено". Пока браслет на руке и действует — вас пускают.
- Токен — это “электронный пропуск”, который подтверждает, что вы уже вошли. Его можно украсть — и тогда войдут как вы.
- OAuth — это указание “пускайте это приложение от моего имени”.
Пример: вы нажимаете “Войти через Google” или “Разрешить приложению доступ к почте”.
Это как выдать чужому сервису пропуск в вашу квартиру — добровольно и официально. Вы не отдаете пароль, но вы отдаете готовый доступ. Пароль уже не нужен. - API — это “служебный канал доступа к данным”. Если у злоумышленника есть разрешение, он может вытащить данные не глазами через экран, а “технически” — быстро и массово.
Атака №1. Украли сессию — и вошли как вы
Как выглядит в жизни:
- Вы заходите в почту или рабочий сервис.
- Всё нормально, вы работаете.
- Но кто-то “подхватил” ваш электронный пропуск (сессию и токен).
- И теперь он может зайти в тот же сервис как вы, часто даже без пароля и без повторного подтверждения.
Почему опасно: служба безопасности видит “вход пользователя”. Никакой вредоносной программы нет.
Что можно заметить в логах/мониторинге:
- вход из другой страны или необычного провайдера (особенно если вы физически сидите дома),
- резкий всплеск действий: массовые открытия, скачивания, экспорты “за 2 минуты”,
- вход с нового устройства “внезапно и без причины”.
Атака №2. OAuth: вы сами дали доступ “приложению”
Это самая коварная атака для бизнеса. Потому что выглядит легально.
Как выглядит в жизни:
- Вам приходит ссылка: “Подключите удобное приложение / бот / помощник”.
- Открывается официальное окно: “Разрешить доступ к почте/файлам?”
- Вы нажимаете “Разрешить”.
- И всё. Теперь “приложение” может читать вашу почту и документы через технический канал (API).
Почему опасно: это не взлом. Это “разрешили сами”. MFA не спасает, потому что вы уже “доверили доступ”.
На что смотреть в мониторинге:
- появилось новое подключённое приложение с доступом к почте/файлам,
- у приложения запрошены “слишком широкие права” (почта, файлы, постоянный доступ),
- после выдачи разрешения начался массовый выкач данных.
Атака №3. “Фишинг, который проходит MFA” (через посредника)
В 2026 году фишинг стал “умнее”. Он не просто ворует пароль, а перехватывает вход после подтверждения MFA.
Как выглядит в жизни:
- Вы вводите пароль и код из SMS/приложения на “почти настоящей” странице. Но реально поддельной.
- Вас перекидывает в реальный сервис, всё выглядит нормально.
- Но между вами и сервисом был “посредник”, который забрал ваш токен входа.
Что мониторить:
- вход со странных IP (часто хостинги, прокси, дата-центры),
- после входа — действия не похожи на обычную работу (не переписка, а экспорт, правила, массовые операции).
Атака №4. Угон почты “тихо”: правила, пересылка, невидимый контроль
Это классика бизнес-мошенничества (BEC), но в новой упаковке.
Как выглядит в жизни:
- Злоумышленник получает доступ к вашей почте (через сессию или OAuth).
- Дальше он не обязательно пишет письма сразу.
- Он создаёт правила, чтобы вы ничего не заметили:
- скрывать письма от директора/бухгалтерии (переместить, удалить, пометить прочитанными),
- включить пересылку на внешний адрес,
- ждать переписку про оплату и подменить реквизиты.
Что мониторить:
- появились новые правила в почте (особенно “удалять/перемещать/прочитано”),
- включилась пересылка писем наружу,
- вдруг изменились автоответчики / подписи.
Атака №5. Утечка данных без скачивания: “ничего не загружали”
Во многих компаниях DLP и контроль утечек всё ещё завязаны на “скачал файл — плохо”. Но в 2026 данные часто утекают иначе.
Как выглядит в жизни:
- Злоумышленник заходит как пользователь в CRM/портал/веб-кабинет.
- И выносит данные без файла:
- копирует кусками и вставляет куда нужно,
- экспортирует в таблицу “внутри сервиса”,
- создаёт публичные ссылки на документы,
- отправляет данные в AI-чат “чтобы сформулировать письмо” — и это тоже утечка.
Что мониторить:
- массовые просмотры карточек/записей “за короткое время”,
- экспорты, расшаривания, создание публичных ссылок,
- необычный доступ к разделам “не по роли” (например, сотрудник вдруг полез в финансовые данные).
Что поставить в мониторинг в 2026 (по-простому)
Чтобы эти атаки не были невидимыми, нужно смотреть не только на компьютер, но и на идентичность + облачные сервисы.
- Контроль входов: откуда вошли, с какого устройства, насколько “необычно”.
- Контроль почты и облаков: правила, пересылки, расшаривания, массовые экспорты.
- Контроль “разрешений приложениям” (OAuth): кто и кому выдал доступ.
Важно: сменить пароль — часто недостаточно. Нужно уметь отозвать токены и доступы, иначе “пропуск” у злоумышленника останется действующим.
Чек-лист для руководителя: что сделать за 7 дней
- Составьте список критичных систем, куда сотрудники заходят через браузер (почта, документы, CRM, кабинеты).
- Проверьте, включён ли аудит:
- правил почты,
- пересылок наружу,
- выдачи доступов приложениям (OAuth),
- экспортов и публичных ссылок.
- Настройте 5 тревог минимум:
- новое OAuth-приложение получило доступ к почте/файлам,
- включили внешнюю пересылку писем,
- создали подозрительное правило “удалять/скрывать”,
- массовый экспорт/расшаривание,
- вход из нетипичной локации + необычные действия после входа.
Финальный вопрос (самый неприятный)
Если завтра сотрудник “официально” выдаст доступ к вашей почте внешнему приложению —
вы узнаете об этом через 5 минут… или через 5 недель, когда уже начнут уходить деньги и документы?